Rôles IAM

Cette page décrit les rôles IAM (Identity and Access Management) que vous pouvez utiliser pour configurer Assured Workloads. Les rôles limitent la capacité d'un compte principal à accéder aux ressources. N'accordez à un compte principal que les autorisations nécessaires pour interagir avec les API, fonctionnalités ou ressources Google Cloud applicables.

Pour pouvoir créer un dossier Assured Workloads, vous devez disposer d'un des rôles listés ci-dessous avec cette fonctionnalité, ainsi que d'un rôle de contrôle des accès Cloud Billing. Vous devez également disposer d'un compte de facturation actif et valide. Pour en savoir plus, consultez la page Présentation du contrôle des accès à Cloud Billing.

Rôles requis

Vous trouverez ci-dessous les rôles Assured Workloads minimum requis. Pour savoir comment accorder, modifier ou révoquer l'accès à des ressources à l'aide des rôles IAM, consultez la page Accorder, modifier et révoquer les accès à des ressources.

Administrateur Assured Workloads (roles/assuredworkloads.admin) : permet de créer et de supprimer des dossiers Assured Workloads.
Lecteur d'organisation Resource Manager (roles/resourcemanager.organizationViewer) : accès permettant d'afficher toutes les ressources appartenant à une organisation.

Rôles Assured Workloads

Vous trouverez ci-dessous les rôles IAM associés à Assured Workloads, ainsi que la procédure à suivre pour les attribuer à l'aide de la Google Cloud CLI. Pour savoir comment accorder ces rôles dans la console Google Cloud ou de manière automatisée, consultez la page Accorder, modifier et révoquer les accès à des ressources dans la documentation IAM.

Remplacez l'espace réservé ORGANIZATION_ID par l'identifiant réel de l'organisation et example@customer.org par l'adresse e-mail de l'utilisateur. Pour récupérer votre ID d'organisation, consultez la section Récupérer votre ID d'organisation.

`roles/assuredworkloads.admin`

Permet de créer et de supprimer des dossiers Assured Workloads. Autorise un accès en lecture/écriture.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

Permet un accès en lecture/écriture.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

Permet d'obtenir et de répertorier les dossiers Assured Workloads. Accorde un accès en lecture seule.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Rôles personnalisés

Si vous souhaitez définir vos propres rôles et y associer plusieurs autorisations, utilisez des rôles personnalisés.

Bonnes pratiques IAM pour Assured Workloads

Une bonne pratique de sécurité dans Google Cloud consiste à sécuriser correctement les rôles IAM selon le moindre privilège. Ce principe suit la règle selon laquelle les utilisateurs ne doivent avoir accès qu'aux produits, services et applications requis par leur rôle. Actuellement, les utilisateurs ne sont pas autorisés à utiliser des services non couverts par le champ d'application avec des projets Assured Workloads lorsqu'ils déploient des produits et des services en dehors d'un dossier Assured Workloads.

La liste des produits concernés par package de contrôle aide les administrateurs de sécurité à créer des rôles personnalisés qui limitent l'accès des utilisateurs aux produits concernés dans le dossier Assured Workloads. Les rôles personnalisés permettent d'obtenir et de maintenir la conformité dans un dossier Assured Workloads.